使用IAM策略变量和TAG来控制EC2开关机权限

最新推荐文章于 2021-03-28 19:24:03 发布
原创 最新推荐文章于 2021-03-28 19:24:03 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#AWS #ec2 #tag

本文介绍了如何通过AWS IAM策略变量和EC2的TAG来精细化控制用户对EC2实例的开关机权限。策略变量允许复用策略内容,而EC2的TAG用于标记实例属性和状态。创建一个IAM组,分配策略仅允许用户查看和操作与其username匹配的Operator TAG值的EC2实例,从而实现权限控制。

为了让EC2使用者自主控制EC2实例的开关机实例,需要设置相应策略给每个用户。

使用策略变量可以尽最大程度复用策略内容。


策略变量

在编写策略时,可以包含变量。

系统在验证策略时,会把变量用实际值替换掉来验证。

例如

${aws:username}
会被当前用户的实际用户名所替代 

${aws:CurrentTime}
是当前时间 

${aws:SourceIp}
是访问者的IP地址。


EC2的TAG

我们可以给EC2打上各种TAG来标记它的属性或状态。

这里,我们需要给EC2打上一个名为Operator的TAG,值为可以操作它的IAM的username。

假设给某一台EC2给一个值为TEST1的TAG。表明TEST1用户可以对这台机器进行操作。


IAM组

我们创建一个IAM组,自定义策略为

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:DescribeInstances"],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": ["ec2:RebootInstances","ec2:StartIn
最低0.47元/天 解锁文章
Tungsten Fabric SDN — 基于 Tags 的安全访问控制策略
烟云的计算
12-09 1万+
目录 文章目录目录传统的安全访问控制策略基于 Tags(标签)的安全访问控制策略Application Tag 传统的安全访问控制策略 传统的的防火墙策略是针对单一 IP 地址,或 Subnet 进行配置的。在任何规模的数据中心中,都会导致防火墙规则的激增。并且这些规则在创建后难以管理,在故障排除时难以理解。这是因为 Host 或 VM 的 IP 地址与具体的 Application 并无关联。 如下图所示,假设我们预期通过安全访问控制规则的方式,只允许 Apache 可以访问 J2EE,且只允许 J2EE
确保 EC2 实例使用 IAM 角色进行访问
最新发布
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
06-14 474
AWS 环境中,当 EC2 实例或 Lambda 函数需要访问其他 AWS 资源时,使用 IAM 角色(Role)进行身份验证是一种更安全的做法,相比直接使用 IAM 用户(User)的访问密钥。
aws简单开发之ec2定时开关机
hackstoic的博客
11-01 9467
环境:ubuntu14.04  boto3 python开发包 需求: awsec2实例是按需收费的, 是按需收费的,不用的时候不收费。 我用ec2主要是用来翻墙的。 所以对我来说一天有将近一半的时间ec2是闲置空转的状态。 而闲置的时候又要被aws计时收费。 所以我就想能不能通过aws提供的api, 来实现定时开关机,从而减少不必要的费用。   需求一
aws-ec2-scheduler:定期启动关闭 AWS EC2 实例的调度程序
06-11
aws-ec2-调度程序 定期启动关闭 AWS EC2 实例的调度程序 安装 如果您全局安装了 composer,只需运行 composer install 否则从获取作曲家 配置 将 config/settings.yml.dist 文件复制到 config/settings.yml 并设置aws_key 、 aws_secretaws_region 调度 EC2 实例启动关闭 编辑 config/schedule.yml 文件并设置您的计划。 示例计划作业 test001_job: instance_id: i-941d5871 start: "30 8 * * *" shutdown: "30 17 * * *" 调度字符串格式 * * * * * * - - - - - - |
AWS身份访问管理模块新增标签基于属性的访问控制能力
cpongo5
02-13 786
最近,Amazon Web Services(AWS)启用了IAM用户角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(ABAC)能力,并将AWS资源与IAM主体动态匹配,以“简化大规模的权限管理”。最近,Amazon Web Services(AWS)启用了IAM用户角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(...
亚马逊AWS学习——IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别
干勾鱼的优快云博客
08-05 4177
在亚马逊AWS中经常需要使用IAM服务,即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。
iam-ssh:使用IAM用户通过SSH到AWS ec2实例
04-07
使用IAM管理AWS EC2 SSH访问 2019年6月:签出作为该项目的替代品 2018年9月:检出以替代该项目 使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例 亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 ...
ec2-tags-env:将AWS EC2标记导入为环境变量
02-05
3. **安全控制**:结合AWS IAM(Identity and Access Management),可以通过实例的"Role"标签来限制实例的权限,确保安全策略得以实施。 4. **监控与报告**:使用"CostCenter"标签,可以追踪每个实例的费用归属,...
如何使用IAM高效管理AWS EC2 SSH访问权限
这允许用户以特定角色的权限来连接操作EC2实例。 ### 结论 aws-ec2-ssh通过将IAM的强大功能与传统的SSH访问管理结合起来,为AWS用户提供了一种高效、安全、易于管理的远程访问EC2实例的方式。随着企业越来越多地...
Amazon EBS LifeCycle Manager 实现EC2 定期备份
shenghuiping2001的专栏
03-28 469
现在AWS 推出了 Lifecycle manager, 备份越来越简单了: 1: 创建两个测试实例:(注意,aws 的界面界面有不同,看下图的左上角,点一下,就可以看到instance 的界面不一样了) 可以先创建好一个EC2, 然后点击上图中的: Launch More like This, 可以创建一个相同类型的instance. 2: 给这两个instance 加上相同的tag: Key: SERVER, Value: TEST: (注意: 是instance 的tag) 3: 下.
AWS 使用tag进行精细权限控制
weixin_33696106的博客
07-12 1634
AWS一个账号下面可以通过IAM创建多个用户,但默认情况下,资源是没有用户属性的,一个账号下的资源,只要用户有这种资源的操作权限,那么不过是你自己创建的还是其他用户创建的,你都可以操作。但在客户的实际使用场景中,有时需要隔离各用户之间的资源。按照AWS的建议,那你需要创建不同的账号,比如你有开发测试资源环境,还有生产资源环境,那么你需要创建两个账号,但创建两个账号,在查询费用...
AWS系列:深入了解IAM访问控制
whatnamecaniuse的专栏
09-26 9413
写在前面:访问控制,换句话说,谁能在什么情况下访问哪些资源或者操作,是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者,AWS自然也在访问控制上下了很大的力气,一步步完善,才有了今日的IAM:Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务,在安全上的纰漏尽可能地少,那么,首先需要先深入了解 IAM。 基本概念 按照
批量添加删除EC2资源的TAG
aws0to1的博客
08-12 2149
偶尔会同时生成大批量的实例,但是又忘了给他们在创建时打上标签 或者在使用过程中,需要批量增加、修改实例的已有标签。 AWS提供了一个资源编辑器来帮助批量添加删除TAG的功能 在EC2控制台点击“标签” 可以看到管理界面,上半部是搜索出来的资源列表,下半部是操作界面。 在筛选条件部分,可以对多种资源进行过滤,或者换句话说,可以对这些资源打TAG
定时关闭启动ec2实例的7种方法
hackstoic的博客
08-21 7989
方法一: 使用aws lambda + cloudwatch服务使用aws lambda, 将trigger/event source设置为CloudWatch Events - Schedule , 再把启动或者关闭服务的函数放到handler里, 这样的话就可以定时触发instance的启动关闭了,另外在cloudwatch可以看到详细日志流调用成功率延时的dashboard,方便调试排障
一说就懂的 AWS S3
热门推荐
keithyau的博客
01-06 3万+
一说就懂的AWS S3,用简单语言介绍了AWS S3的功能性能。
初次使用AWS S3服务
Desilting's 足迹
03-01 6923
创建第一个 IAM 管理员用户组http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/getting-started_create-admin-group.html安装AWS Command Line Interfacehttp://docs.aws.amazon.com/zh_cn/cli/latest/userguide/installin
快照与AMI的区别
aws0to1的博客
08-22 9758
快照 把EBS上的数据拷贝到S3上进行保存的称为快照(Snapshot)。 在快照中并不包含用于管理实例的信息。 既可以使用快照生成一个EBS卷, 也可以使用快照生成AMI(http://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/instance-launch-snapshot.html) 从快照创建EBS卷
使用lambda与cloudwatch实现定时开关EC2
captsinpata的博客
06-24 1555
awsec2实例是按需收费的,部分用户在使用ec2过程中发现其业务主要是在一天的某段时间,其余的时候 ec2是闲置空转的状态。而闲置的时候又要被aws计时收费。 所以笔者就想能不能通过aws的Lambda服务,来实现定时开关机,从而减少不必要的费用。 用户需求: 在晚上10:00~第二天早上10:00这段时间, 将ec2实例自动关机, 早上10:00~晚上10:00 这段时间ec2自动开...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值